В базовые требования для CAs состояния:
Компрометация ключа: считается, что закрытый ключ скомпрометирован, если ... существует практический метод, с помощью которого посторонний человек может обнаружить его ценность. ...
В разделе 3.1.5 также говорится:
CA ДОЛЖЕН отозвать сертификат в течение 24 часов, если произойдет одно или несколько из следующих событий:
...
13. ЦС осведомлен о возможной компрометации закрытого ключа подчиненного ЦС, используемого для выдачи сертификата;
Любой центр сертификации, который сохранил свои закрытые ключи, которые он использует для подписи на интерфейсном веб-сервере с поддержкой TLS (который использует уязвимую версию OpenSSL), должен был бы отозвать любые сертификаты, подписанные этим ключом, или столкнуться с возможным неудачным аудитом и последующим исключением из доверие к браузеру и т. д.
Тем не менее, нет никаких оснований полагать, что центры сертификации имеют ключи, которые они используют для подписи сертификатов, которые хранятся на общедоступных веб-серверах. Фактически, ключи для корневых сертификатов часто хранятся полностью в автономном режиме.
Что касается закрытых ключей интерфейсных веб-серверов (ключей, связанных с сертификатами, которые используются для аутентификации клиентов), они могут быть скомпрометированы.